消费者路由器的安全性相当差。攻击者利用落后的**商，攻击大量路由器。下面是如何检查你的路由器是否被破坏。

家庭路由器市场很像Android智能**市场。**商正在生产大量不同的设备，却懒得更新它们，使它们容易受到攻击。

你的路由器如何加入黑暗面

相关：什么是DNS，我应该使用另一个DNS服务器吗？

攻击者通常试图更改路由器上的DNS服务器设置，将其指向恶意DNS服务器。当你尝试连接到一个网站-例如，你的银行网站-恶意DNS服务器告诉你去钓鱼网站代替。它可能仍然会说美国银行在你的地址栏，但你会在一个钓鱼网站。恶意DNS服务器不一定响应所有查询。它可能只是在大多数请求上超时，然后将查询重定向到ISP的默认DNS服务器。异常缓慢的DNS请求是您可能感染的迹象。

眼尖的人可能会注意到，这样的钓鱼网站不会有HTTPS加密，但许多人不会注意到。SSL剥离攻击甚至可以删除传输中的加密。

攻击者也可能只是**广告、重定向搜索结果或尝试安装drive-by下载。他们可以捕获几乎每个网站使用的谷歌分析或其他脚本的请求，并将它们重定向到提供脚本的服务器，而不是注入广告。如果你在How To Geek或****这样的合法网站上看到色情广告，你几乎肯定感染了某种东西——无论是在你的路由器上还是你的电脑本身。

许多攻击利用跨站点请求伪造（CSRF）攻击。攻击者将恶意JavaScript嵌入到网页中，JavaScript试图加载路由器基于web的管理页面并更改设置。当JavaScript在本地网络中的设备上运行时，代码可以访问仅在网络中可用的web界面。

一些路由器可能会激活其远程管理接口以及默认用户名和密码-机器人程序可以在互联网上扫描此类路由器并获得访问权限。其他攻击可以利用其他路由器问题。例如，UPnP在许多路由器上似乎都很脆弱。

如何检查

相关：10个有用的选项，您可以配置在您的路由器的网络界面

路由器被破坏的一个信号是它的DNS服务器被改变了。您需要访问路由器的基于web的接口并检查其DNS服务器设置。

首先，您需要访问路由器的基于web的设置页面。检查您的网络连接的网关地址或查阅路由器的文档，以了解如何连接。

如果需要，请使用路由器的用户名和密码登录。在某处查找“DNS”设置，通常在WAN或Internet连接设置屏幕中。如果设置为“自动”，那没关系-它是从您的ISP获取的。如果它设置为“手动”，并且有自定义的DNS服务器进入，那很可能是个问题。

如果您已将路由器配置为使用好的备用DNS服务器，则没有问题—例如，对于Google DNS，使用8.8.8.8和8.8.4.4；对于OpenDNS，使用208.67.222.222和208.67.220.220。但是，如果有DNS服务器，你不认识，这是一个迹象，恶意软件已经改变了你的路由器使用DNS服务器。如果有疑问，请在web上搜索DNS服务器地址，看看它们是否合法。类似“0.0.0.0”之类的东西是可以的，通常只是表示字段为空，路由器会自动获得DNS服务器。

专家建议偶尔检查一下这个设置，看看你的路由器是否受到了威胁。

救命，有个恶意的dns服务器！

如果这里配置了恶意DNS服务器，您可以禁用它并告诉您的路由器使用ISP提供的自动DNS服务器，或者在这里输入合法DNS服务器（如Google DNS或OpenDNS）的地址。

如果有一个恶意的DNS服务器进入这里，你可能想清除所有路由器的设置和工厂重置它之前，再次设置备份-只是为了安全。然后，使用下面的技巧帮助保护路由器免受进一步的攻击。

加强路由器抵御攻击

相关：保护你的无线路由器：8件事你现在可以做

你当然可以加强你的路由器对这些攻击-有点。如果路由器有**商没有修补的安全漏洞，你就不能完全保护它。

• 安装固件更新：确保已安装路由器的最新固件。启用自动固件更新，如果路由器提供它-不幸的是，大多数路由器没有。这至少可以确保你从任何已修补的缺陷保护。
• 禁用远程访问：禁用对路由器基于web的管理页的远程访问。
• 更改密码：更改路由器基于web的管理界面的密码，这样攻击者就不能只使用默认界面。
• 关闭UPnP：UPnP特别脆弱。即使UPnP在你的路由器上不易受攻击，在你的本地网络中某个地方运行的恶意软件也可以使用UPnP来更改你的DNS服务器。这就是UPnP的工作原理-它信任来自本地网络的所有请求。

DNSSEC应该提供额外的安全性，但在这里它不是万能的。在现实世界中，每个客户端操作系统都只信任已配置的DNS服务器。恶意DNS服务器可能会声称DNS记录没有DNSSEC信息，或者它确实有DNSSEC信息，并且传递的IP地址是真实的。

图片来源：Flickr上的nrkbeta